"Heartbleed": Massiver Sicherheitsfehler in SSL

Der Security-Szene tränt das Herz. Eine massive Sicherheitslücke in verschiedenen Versionen von OpenSSL macht verschlüsselte Verbindungen über das Netz in einem ungeahnten Ausmaß angreifbar. mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ähm, und weil openssl betroffen ist, ist gleich Alles, was mit SSL/TSL zu tun hat, unsicher? oO Oder versteh ich da was falsch..
 
@TheUntouchable: Der Artikel ist ein wenig übertrieben, ja
 
@TheUntouchable: nicht unbedingt alles, allerdings ist OpenSSL am weitesten verbreitet.
Es gibt zb auch GnuTLS, nur die meisten Projekte setzen halt auf OpenSSL.
 
@TheUntouchable: kannst Du das bitte auch einmal für einen Menschen mit weniger technischem Tiefgang erklären, bitte?
 
@222222: OpenSSL ist ein Produkt/Programm mit dessen Hilfe TLS/SSL Verbindungen erstellt werden können, OpenSSL wird oft z.B. im Apache oder anderen OpenSource Webservern genutzt aber auch in vielen Mailservern, VPNs, android(?) usw., alles was halt TLS/SSL Verschlüsselung auf OpenSSL Basis nutzt. Dagegen gibt es aber weitere TLS/SSL Implementierungen wie GnuTLS (wird fast nicht verwendet) die hierfür ebenso verwendet werden könnten oder die Implementierung von MS in Windows, diese Implementierungen sind von diesem Fehler nicht betroffen und damit nicht angreifbar - zumindest nach meinem Stand. Die Technik TLS/SSL ist also "sicher" aber das Programm OpenSSL ist vor dem Patch unsicher, von außen ist für den laien aber nicht erkennbar ob der Server mit dem eine Verbindung hergestellt wird OpenSSL (und in welcher Version) verwendet oder nicht aber es ist sehr verbreitet.
 
@222222: openssl ermöglicht dir auf z.B. Ubuntu das Verwenden von SSL/TSL. Dies wird auf Windows z.B. nicht benötigt, da ist der Support schon anders integriert. Heißt, wenn du auf einen Webserver mit dem IIS (Microsoft Webserver) oder einen Apache mit GnuTLS zugreifst, ist das ganze hinfällig.. Nur wenn du auf einen Webserver zugreifst, der OpenSSL verwendet, oder du selber OpenSSL verwendest, dann könnte es doof werden. EDIT: Zu langsam :)
 
@TheUntouchable: Der Titel ist mal wieder schlampig gewählt oder einfach nur reisserisch. EDIT laut heise.de steht zumindest für Debian-Systeme ein Update bereit. Siehe: http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
 
@pengo: Gott Sei dank hat Heise keine reisserischen Titel: Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL
 
@-adrian-: Einfach nach dem Titel weiterlesen. Und dann nochmal vergleichen.
 
@pengo: Aber -adrian- ging es doch gerade eben um den Titel. Nicht, was danach kommt. Das ist ja auch hier dann eher nicht so reißerisch. Aber Horror-Bug klingt schon Hammer, findest du nicht?
 
@DioGenes: openssl ist in so vielen Produkten und lösungen implementiert dass man bei diesem Bug definitiv vom GAU reden kann....schlimmer geht fast nicht. Die einzige ernsthafte Hoffnung ist dass z.B. Routerhersteller und co nur alte Versionen vor 1.0.1 nutzen
 
@DioGenes: Letztlich ist es wohl relativ welcher Artikel reisserischer ist. Mir gings auch eher darum, das man bei Heise sowohl im Titel auchs auch im Artikel korrekterweise von OpenSSL schreibt, während Winfuture mit dem Titel vermittelt dass alle Implementierungen betroffen seien, diser Aussage jedoch bereits im ersten Absatz widerspricht.
 
@0711: Aber ich habe doch gar nicht vom GAU geredet oder diesen abgestritten. Horror-Bug!!! Der Roman von Stephen King verfilmt von John Carpenter, in der Hauptrolle Bugs Bunny! Keep it cool, it's not a bug, it's a feature, supported by NSA ;-)
 
@DioGenes: das wäre wohl der kracher (wenn es rauskommt) :)
 
@0711: ? Ich dachte, das mit der NSA wäre schon raus gekommen ? Okay, Okay, ich bin damals schon per Mosaic über CompuServe ins Internet, da war das alles noch turnschuhmäßig, ein Spaß, ein Abenteuer, aufregend, neu, faszinierend. da gab es dort noch keine Schlipsträger, Manager, Dataminer, Impressumspflicht, keine Unmengen von Hackern (sorry, ich weiß, eigentlich seid ihr die Guten), alles war noch friedlich, nicht übersät mit aufwändigen Flashintros und was weiß ich nicht noch alles. Jetzt ist das ganze in der realen Welt angekommen und sieht sich realen Problemen gegenüber. Vorgestern 2 Milliarde gehackte Email-Konten, heute OpenSSL, morgen Facebook??? Keine Ahnung, es nimmt eben Fahrt auf, weil eben auch jede Menge Kohle drin steckt und es viele gibt, die die gerne abgreifen möchten... Vorher den Automaten geknackt, heute den Account... Wobei, das letztere wahrscheinlich auch wesentlich eleganter und weniger mühselig und schweißtreibend ist ;-) Just my two cents
 
@-adrian-: das witzige an der sache ist, das die bild genau solche wörter ebenfalls benutzt. :D
 
@Odi waN: Ähem, *räusper* also ich hab jetzt einfach mal die Suchfunktion von Winfuture benutzt und fand dies; (achten Sie auf den Titel sowie den Namen des Autors): http://winfuture.de/news,81119.html
 
@TheUntouchable: Als Beispiel viele NAS Systeme setzen auf OpenSSL (QNAP, Synology). Aber auch viele andere Systeme verwenden OpenSSL, also ist die Lücke schon sehr kritisch.
 
Oh wieder eine "doch nicht nur das" Floskel News. Ja wer die wohl geschrieben hat :] zum Thema selber. Ganz ganz bitter der Bug. Er zeigt wieder mehr das das Internet nie löchriger war als bisher. Und es immer löchriger wird. Goto fail Bug war ja auch schon Super.
 
So wird das nie was mit der De-Mail. ^^ Glauben denn immer noch Leute, dass es etwas sicheres im Netz gibt?
 
@Remotiv: DE-Mail, dass ich nicht lache ^^
http://filippo.io/Heartbleed/#www.gmx.net

Resultat: "www.gmx.net IS VULNERABLE"
 
@wischi: die besten der besten der besten sir. Web.de ist natürlich auch wieder vulnerable mit deinem genannten Test.
 
@balini: also einen ernsthaften vorwurf kann man denen hier wohl nicht machen wenn sie auf stark verbreitete und etablierte lösungen setzen...
 
@0711: Einen Vorwurf gibt es nicht für den Fehler, aber eine rasche Reaktionsgeschwindigkeit ist was anderes wenn ich mir schon "Sicherheit" auf die Flagge schreibe ;-)
 
@wischi: also 24 oder 48 stunden halte ich jetzt nicht für soooo übertrieben lange...klar ist schneller besser aber wirklich langsam würde ich das nicht nennen. Cisco hat z.B. Videokonferenzanlagen im Support die bis heute nicht gepatcht sind - das ist langsam.
 
Für alle die Total nervös sind :-) Einfach mal die Seiten checken die Ihr nutzt und die eigenen Server prüfen falls ihr welche habt.
http://filippo.io/Heartbleed/
 
Sorry, aber wenn ichs richtig verstanden habe (korrigiert mich falls ich falsch liege), kann der Bug noch schlimmer als gedacht sein. Weil ja sowohl Clients den Memory vom Server auslesen können, sondern auch umgekehrt. Ich stelle jetzt mal Vermutungen an, aber wenn das wirklich so ist wie ichs aus der Seite http://heartbleed.com/ rauslese (When it is exploited it leads to the leak of memory contents from the server to the client and from the client to the server.), bedeutet das, dass Server so konfiguriert werden könnten, dass sie den Speicher aller Geräte, die verwundbare Versionen von OpenSSL verwenden und auf den Server zugreifen, auslesen können. Ich tippe mal nicht dass alle Browser betroffen sind (auf keinen Fall die Propriäteren), allerdings werden (und das ist wieder eine Vermutung, bitte sagt mir dass es nicht so ist), Browser auf Linux und vor allem Android betroffen sein können. Ich hoff mal dass es nicht so ist, das würde definitiv einem Supergau entsprechen.
 
@Tintifax: genau so verstehe ich das...wobei ein böser auch erst mal den Server kompromittieren muss um dann auf die Clients zu kommen
 
@0711: Jein. Für Seiten wie google.com, microsoft.com, apple.com etc ist das vermutlich unmöglich. Für durchschnittlich gewartete Seiten auf der einen Seite, für Websites die sowieso böses im Sinn haben auf der anderen Seite, gilt das nicht mehr! Ein böser Serveradministrator, eine für viele interessante Seite (ein nackter Star, was weiß ich worauf die Leute reinkippen), ein mit bit.ly und ähnlichem gekürzter Link, und schon kannst auf Twitter, in Foren, etc eine Verbreitung ohne Ende haben. Bei fishing Mails braucht man nicht mehr auf die Eingaben der Benutzer warten, sondern es reicht wenn jemand auf die Seite geht. Sollte Preview in Webclients eingeschalten sein reicht das sowieso! Ein eingebettes Bild auf einer Vertrauenswürdigen Seite, und schon haben sie mich. Ich hoffe ernsthaft, dass Android, Linux, Clients im allgemeinen nicht betroffen sind, dass ich das schlicht und einfach falsch versteh. Sonst ist das eine unfassbare Katastrophe.
 
@0711: Ok, ich bin etwas beruhigt: Chrome on Android is not affected. It does use OpenSSL, but it (and OpenSSL on Android itself) has always been compiled with OPENSSL_NO_HEARTBEATS and so never included the buggy code.
 
@Tintifax: wäre interessant ob das wirklich alle Hersteller so machen ;) Wo hast du das her?
 
@0711: Ups... Ist doch nicht so gut.... http://www.reddit.com/r/programming/comments/22ghj1/the_heartbleed_bug/

Hmm, I beg to differ.

Android 4.1.1_r1 upgraded OpenSSL to version 1.0.1: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.1_r1

Android 4.1.2_r1 switched off heartbeats: https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

That leaves Android 4.1.1 vulnerable! A quick grep on my access logs reveal there is a lot of devices still running 4.1.1.
 
@Tintifax: naja aber besser als befürchtet ;) Ich hab auch mit etwas Erleichterung reagiert dass viele appliances in meinem Dunstkreis kein openssl 1.0.1 einsetzen oder ohne heartbeat
 
Debian GNU/Linux verteilt die Sicherheitsaktualisierungen wohl schon. Hatte vorhin 4 Paketaktualisierungen, alle Pakte hatten "ssl" im Namen.
 
@Pizzamann: Arch ebenso.
 
Der Artikel ist falsch. Betroffen sind nur OpenSSL Versionen, welche die TLS Heartbeat Erweiterung aktiviert haben. Und die mit TLS Heartbeat Erweiterung wurden heute mit der Version 1.0.1g gefixt. OpenSSL 0.9.8y vom 5. Februar 2013 beispielsweise, ist nicht betroffen, es hat die Heartbeat Erweiterung nicht. Aber auch 1.x.x OpenSSL Versionen lassen sich sich ohne Heartbeat Erweiterung bauen, mit der Übergabe des Schalters an den Compiler: -DOPENSSL_NO_HEARTBEATS
 
@Rumbalotte: es ist aber ein optout und kein optin...von demher ist er nicht soo falsch auch wenn es nur 1.0.1 betrifft.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles